Verwijderde gegevensschijven Nieuwe gegevensverstoringen

Volgens een nieuw rapport over gegevens inbreuken van Verizon Business, cybercriminelen vallen niet langer aan waar de creditcardbestanden zijn, maar waar ze ooit waren.

"Criminelen lenen geld van digitale forensische tools", zegt Bryan Sartan, directeur onderzoekreacties voor Verizon Business Security Solutions. Hij zei dat criminelen nu in staat zijn om verwijderde transactiegegevens te lezen van niet-toegewezen schijfruimte en van het wisselbestand, en hij schreef een deel daarvan toe aan bedrijven die achteraf software aan oudere betaalappara- ten aanpasten of upgraden om te voldoen aan de voorschriften van de betaalkaartindustrie. "Nieuwe software, oude gegevens."

Vorig jaar bracht Verizon Business een omvangrijke vier jaar durende studie uit over datalekken. Hoewel het rapport van dit jaar slechts één jaar beslaat, is het volume niettemin overweldigend: 285 miljoen gecompromitteerde records van 90 bevestigde datalekken in 2008.

Sartan kon de specifieke organisaties die voor dit rapport werden onderzocht, niet noemen, maar hij zei wel dat het afgelopen jaar aanvallen tegen financiële instellingen stegen sterk tot 30 procent, net achter de detailhandel met 31 procent. Hij zei dat gerichte aanvallen, waarbij de criminelen wisten wat ze wilden, deels waren gestegen omdat de prijzen voor creditcardinformatie op de zwarte markt waren gedaald. Weten dat de gegevens afkomstig zijn van een financiële instelling, verhoogt de waarde ervan, zei hij.

Negenennegentig procent van de records die werden overtreden, was afkomstig van gecompromitteerde servers en applicaties. Daarvan werd 67 procent van de inbreuken geholpen door significante configuratiefouten. Vierenzestig procent van de inbreuken was het gevolg van hacking. Terwijl de SQL-injectie hoog bleef als aanvalsmiddel, zei Sartan dat de totale SQL-nummers achteruitgingen.

74% van de inbreuken was afkomstig van externe bronnen, waardoor het idee werd geschonden dat datalekken grotendeels het werk waren van insiders. Volgens het rapport waren de IP-adressen van externe aanvallen afkomstig uit Oost-Europa (22 procent), Oost-Azië (18 procent) en Noord-Amerika (15 procent). <39> Negenenderentig procent van de inbreuken had betrekking op meerdere partijen, waarbij een softwarefout gebruikt bij een bedrijf leidt het tegen een ander bedrijf. "(De) aanvaller exploiteert Software X bij Brand A Stores en leert later dat Brand B Stores ook Software X uitvoert. Een aanval wordt vervolgens gericht op Brand B Stores, maar alleen vanwege een bekende zwakke positie."

Achter al deze gegevens is het feit dat de georganiseerde misdaad, en niet de enige criminele hacker, de middelen en het geduld heeft om deze aanvallen uit te voeren. Sartan zei dat het schrapen van kredietgegevens uit vluchtig geheugen of het lezen van verwijderde gegevens een beetje technisch raffinement vergt. Hij zei dat Verizon Business heeft geconstateerd dat software die wordt gebruikt in de inbreuken vaak uniek is, specifiek voor de doelgerichte organisatie.

Het volledige rapport over gegevensverstoringen van 2009 is beschikbaar op de Verizon Business-site.

Robert Vamosi is een freelance computerbeveiliging schrijver gespecialiseerd in het afdekken van criminele hackers en malwarebedreigingen.